ネット管理者

McAfee SIEM のレビューと代替案

McAfee SIEM のレビューと代替案



マカフィーはウイルス対策ソフトウェアのメーカーとして有名です。しかし、同社が市場に留まるためには、新しい IT 保護システムを進化させて導入する必要がありました。 McAfee SIEM ソリューションは単一の製品ではありません。 McAfee SIEM ファミリの主要な要素は次のように呼ばれます。 マカフィー エンタープライズ セキュリティ マネージャー

McAfee SIEM コンポーネントの完全なリストは次のとおりです。



  • マカフィー エンタープライズ セキュリティ マネージャー
  • マカフィー イベント レシーバー
  • マカフィーの高度な相関エンジン
  • マカフィー エンタープライズ ログ マネージャー
  • マカフィー エンタープライズ ログ検索
  • マカフィー アプリケーション データ モニター
  • マカフィー ダイレクト アタッチド ストレージ
  • マカフィー グローバル脅威インテリジェンス

これらのさまざまなモジュールは、複数のソースからの入力データを Enterprise Security Manager に送信します。

SIEMは何をするのですか?

SIEMはの略です セキュリティ情報とイベント管理 。これは 2 つの脅威検出戦略を組み合わせたものです。ホストベースの侵入検知システム (HIDS) は、ログ ファイルを調べて異常なアクティビティの兆候を探します。 セキュリティ情報管理 (SIM) HIDSです。ネットワークベースの侵入検知システム (NIDS) は、ネットワーク トラフィックを監視して侵入を探します。 セキュリティ イベント管理 (SEM) NIDSの戦略です。 SIEM は SIM と SEM を組み合わせたものです。



SEM の利点は、ライブ データで機能することです。ただし、ネットワーク モニターはネットワークの 1 つのポイントでのみ動作し、通過するすべてのトラフィックを監視します。移動する各パケットの内容が暗号化されている場合、SEM システムが処理する必要があるのはパケット ヘッダー データだけです。 SEM は、ネットワーク上の異なる場所や別のデバイス上のイベントを比較することはできません。

SIMは見える 活動のパターン デバイス間で。ただし、SIM 手法では、より多くのソース データを使用すると、より良い結果が得られます。 SIM の入力情報はログに書き込まれるため、時間の経過とともに最良の SIM 結果が得られます。 SIM の大きな問題は、侵入を即座に検出しないことです。

SIEM の組み合わせ SIMとSEMの強み 。さまざまな技術を備えた SIEM でさえ、侵入をブロックすることはできません。これは第 2 の防御線であり、エッジおよび境界防御をすり抜けた悪意のある活動を一掃することを目的としています。

マカフィーについて

マカフィーは 1987 年に設立されました。 マカフィー アソシエイツ 。同社は 2014 年に Intel Security Group となり、2017 年に McAfee, LLC となりました。McAfee は商用ウイルス対策ソフトウェアの最初のメーカーであり、早期に成功を収めたため、このビジネスは魅力的な買収対象となりました。風変わりな創設者であるジョン・マカフィーは 1994 年に会社から撤退し、すべての株式を売却しました。一連の買収の後、その会社は次の企業に買収されました。 インテル その後、マカフィーは 2017 年にスピンアウトして独立企業に戻り、インテルが依然として多額の株式を保有し続けました。

ハッカーの活動がより巧妙になるにつれて、従来のウイルス対策モデルでは IT システムを完全に保護できなくなりました。 IT システムにおける「侵入」の概念には、ハッカーがネットワークに侵入し、長期的な占拠を確立することが含まれます。これは「侵入」と呼ばれます。 高度持続的脅威 (APT)

マカフィーは、AI 技術を使用して、アクティビティ シグネチャのデータベースを参照することなく異常なアクティビティを特定する機械学習ソフトウェアに投資してきました。

マカフィー エンタープライズ セキュリティ マネージャー

マカフィー エンタープライズ セキュリティ マネージャー (ESM) McAfee SIEM のメイン モジュールであり、システムのメイン コンソールが含まれており、ログ コレクターとトラフィック モニターが提供するすべてのデータ フィードを結び付けます。

コンソールのメイン ビューはイベントに焦点を当てていますが、デバイス ビューにもアクセスできます。 ESM のコンソールでは、検索および分析機能にアクセスできます。

マカフィー SIEM モジュール

Enterprise Security Manager は SIEM システムの中核ですが、データ処理作業の多くはそのユニットの外部で実行されます。

マカフィー イベント レシーバー

マカフィー イベント レシーバー ログ収集のための分割システムです。エージェントは各監視対象デバイスに常駐します。ネットワークが利用できない場合に備えて、収集したデータをローカルに保存できます。中央収集システムはすべてのエージェントと通信して、エージェントからデータを受信します。

中央コントローラーはログ サーバーとして機能します。受信したデータを標準レイアウトに再フォーマットし、すべてのレコードをまとめて保存できるようにします。関連するイベントにはマークが付けられ、将来の分析検索でグループ化できるようになります。これを対数相関と呼びます。

マカフィーの高度な相関エンジン

高度な相関エンジン (ACE) イベント レシーバーの機能に基づいて構築されます。過去のログ レコードを検索して、すでに進行中のイベントに関連して新しくファイルされたログ メッセージが以前のメッセージによって識別されているかどうかを確認します。

ACE は新しいレコードにマークを付けて、古いログ メッセージと結合できるようにします。特定されたメッセージ グループは、同様のレコードをリンクしません。むしろ、異なる場所での異なるアクションを通じて現れる同じイベントの指標を特定するルール システムを使用します。

マカフィー エンタープライズ ログ マネージャー

エンタープライズ ログ マネージャー (ELM) はログ ファイル マネージャーであり、その目的は、セキュリティ標準で要求される必須のログ ファイル管理機能を提供することです。 Security Event Manager およびデータ セキュリティ標準レポートのデータ ソースとして、受信ログ メッセージのログ ファイルを作成します。

標準では生のログを保存してアクセスできるようにする必要がありますが、セキュリティ イベント マネージャーは異常なアクティビティを強調する特定のレコードのみに関心があるため、一部のログ メッセージは複製され、異なる形式で保存されます。 ELM は、ローカルまたはリモートのストレージ機能を使用するように構成できます。 ELM は、SIEM システムのオプションのモジュールです。 Enterprise Security Manager は、Enterprise Log Manager が存在しなくても機能します。

マカフィー エンタープライズ ログ検索

マカフィー エンタープライズ ログ検索 (ELS) Elasticsearch に基づいています。これは McAfee SIEM システムのコンポーネントですが、スタンドアロン ユーティリティとしても動作します。この検索機能は、McAfee Advanced Correlation Engine と Enterprise Log Manager によって構成されたファイルに対して動作し、イベントの記録を調べて、侵入やデータ盗難の可能性を特定します。 ELS は Enterprise Security Manager のコンソールに統合されており、アドホック クエリと分析を目的としています。

マカフィー アプリケーション データ モニター

アプリケーション データ モニター (ADM) SIEM の SEM 部分を提供します。このツールはライブ データを操作し、ネットワーク上のすべてのトラフィックを監視します。このモニターは電子メールや PDF を調べ、埋め込まれたトロイの木馬や危険なプログラムを検索できます。

このモニターはアプリケーション層で動作するため、ハッカーが従来のネットワークモニターを欺こうとしてパケットを分割する攻撃を発見することができます。このサービスは SPAN ポート上で動作し、インラインではなくデータ フローを複製します。これにより、ネットワークに遅延が生じる危険性がなくなります。

ADM は、受信する攻撃の試みを探すだけでなく、送信トラフィックでデータ損失イベントや不正な通信も検索します。すべての検出はデータ保護標準に従って監査されます。

マカフィー ダイレクト アタッチド ストレージ

マカフィー ダイレクト アタッチド ストレージ Enterprise Security Manager と Enterprise Log Manager を提供し、RAID コントローラー、ミラーリングされたキャッシュ、および IO マルチパスを提供します。

ESM 向け McAfee Global Threat Intelligence

グローバル脅威インテリジェンス (GTI) feed は、すべてのセキュリティ製品をサポートする McAfee の中核サービスです。 GTI は、Enterprise Security Manager に適した形式で利用可能です。

マカフィー SIEM 構成オプション

McAfee Enterprise Security Manager は 2 つの形式で利用できます。 1 つ目は、ESM Cloud と呼ばれる柔軟なクラウドベースのサービスです。おそらくこれが、ほとんどの顧客が選択する最もアクセスしやすいオプションです。

がある ESMクラウドの無料トライアル 。このトライアルは、実際のクラウド サービスにアクセスするのではなく、オンプレミスの VM 上で実行されるダウンロード可能なソフトウェアの形式で行われます。 Enterprise Security Manager の通常のオンプレミス バージョンはアプライアンスです。このシステムを評価したい潜在顧客は、ESM Cloud のトライアルとして提供されている仮想アプライアンス バージョンもダウンロードする必要があります。

ダッシュボード

ESM のコンソールには次の方法でアクセスします。 標準の Web ブラウザ クラウド サービスとして展開されるか、アプライアンスとして展開されるか。サービスの画面はブラウザ ウィンドウの幅全体を占め、メニュー用のスペースは確保されません。各画面のタイトル バーにあるボタンを押すと、オンデマンドでメニューが左側からスライドインします。

McAfee ESM SIEM ソリューション

システムのメイン画面には、最近のイベントのリストが表示されます。メイン メニューからアクセスできるその他のオプションには、ログ ファイル エクスプローラーと エラスティックサーチ ログファイルを操作するユーティリティ。

メニューを配置しないと、メイン画面の左側のパネルに監視対象のすべてのデバイスがリストされていることがわかります。そのリスト内のエントリの 1 つにある小さなフラグは、その場所でイベントが検出されたこと、またはそのデバイスの設定またはリソースを確認するためにアクションを実行する必要があることを示します。

マカフィー ESM

フラグの付いたデバイスをクリックすると、そのデバイスに対して表示されているアラートを解決できる ESM 内の機能にアクセスできるボタンのボックスが表示されます。

McAfee SIEM の代替手段

McAfee SIEM は、市場で最高の SIEM 製品の 1 つです。統合します ウイルス検出 マルウェアのダウンロード試行をブロックし、不正な人間の活動を検出します。このサービスには、データ損失防止と不審な送信通信が含まれます。マカフィーの中央研究所が提供する脅威インテリジェンス フィードは、世界で最も高く評価されているものの 1 つです。

SIEM システムと現在市場で利用可能な最高のサービスについて詳しくは、こちらをご覧ください。 最高のSIEMツール 役職。ただし、SIEM に関する別の記事を読みたくない場合は、試してみる価値のある他の SIEM システムの簡単な説明を参照してください。

以下に、McAfee SIEM の代替となるベスト 10 のリストを示します。

  1. SolarWinds セキュリティ イベント マネージャー (無料トライアル) このツールは、ログ ソースとライブ データ入力を組み合わせて異常を検出します。この製品は、SolarWinds が作成した一連のインフラストラクチャ監視ツールの一部です。このソフトウェアは Windows Server にインストールされます。 30 日間の無料トライアルをダウンロードしてください。
  2. CrowdStrike Falcon Insight (無料トライアル)クラウドベースの SIEM と、各デバイスにインストールされるエンドポイント検出および応答モジュールの組み合わせ。このシステムは、ログ記録とアクティビティ レポートを通じて脅威ハンティングを強化するためのインテリジェンス フィードを受信し、EDR ユニットはユーザーとエンティティの動作分析を実装して異常を特定し、ゼロデイ攻撃をブロックします。 15 日間の無料トライアルを開始します。
  3. ManageEngine EventLog Analyzer (無料トライアル) と連携できる SIM 機能を提供する部分 SIEMログ360完全な SIEM を作成するためにライブ ネットワーク データのフィードを取得するツール。 Windows と Linux にインストールされます。 30 日間の無料トライアルを開始してください。
  4. Datadog セキュリティ監視 クラウドベースのサービスで、オンサイトにエージェントをインストールする必要があります。セキュリティ監視ログ マネージャーと、アラートを含むシステム監視パッケージのモジュールである SIEM。
  5. フォーティネット FortiSIEM エージェントをオンサイトにインストールする必要がある、包括的なクラウドベースの SIEM システム。これには、検出された悪意のあるアクティビティをシャットダウンするための自動応答アクションが含まれています。
  6. Rapid7 InsightIDR 保護された各エンドポイントにエージェントを展開するクラウドベースのセキュリティ サービス。エージェントは、ネットワークが利用できなくなった場合でも保護の継続を保証します。このサービスには、自動応答メカニズムが統合されています。
  7. OSSEC 無料のオープンソースのホストベースの侵入検知システム。これは SIEM の SIM 部分のみをカバーしますが、ファイルを介してライブ フィードをバウンスすることで、ライブ ネットワーク データをカバーするために費やすことができます。 Windows、macOS、Linux、Unix にインストールされます。
  8. LogRhythm 次世代 SIEM プラットフォーム ライブトラフィック統計とログメッセージを入力として受け取ります。 AI ベースの機械学習を適用して誤検知を削減します。優れたユーザーガイドがあります。このソフトウェア パッケージは Windows および Linux にインストールされます。
  9. AT&T サイバーセキュリティ AlienVault 統合セキュリティ管理 独立して開発された包括的なセキュリティ システムは高く評価されており、現在 AT&T の資産となっています。 Windows と macOS 上で動作します。
  10. Splunk エンタープライズ セキュリティ ネットワーク監視とログ管理を組み合わせて、データ分析ユーティリティを備えた SIEM ツールを提供します。オンプレミス ソフトウェアは Windows と Linux にインストールされます。

マカフィー SIEM に関するよくある質問

生のログは McAfee SIEM にどのくらいの期間保存されますか?

McAfee SIEM での生のログ データのデータ保持期間はユーザー次第です。非圧縮ログの保存期間は 365 日、90 日、または 30 日で、サービスに支払う価格に大きな影響を与えます。

McAfee SIEM にデータ ソースを追加するにはどうすればよいですか?

データ ソースを McAfee SIEM システムに追加するには、Enterprise Security Manager (ESM) のダッシュボードを開く必要があります。 Event Receiver をセットアップしてから構成する必要があります。このセットアップ システムへは、ダッシュボードの中心を指す円形の矢印のようなボタンからアクセスします。これは [イベントとフローの取得] アイコンであり、そのシステムに入ると、データ ソースの追加とコレクターのダウンロードのプロセスが案内されます。

McAfee SIEM でパケット キャプチャを行うにはどうすればよいですか?

McAfee SIEM には、パケット キャプチャ用のネイティブ ツールがありません。代わりに、 tcpdump ターミナル セッションでコマンドを実行し、出力をファイルに送信します。

^